[upki-odcert:00074] Re: OpenSSL の脆弱性

Subject: [upki-odcert:00074] Re: OpenSSL の脆弱性
Date: Mon, 14 Apr 2014 13:21:26 +0900
From: Yasuo Okabe <xxxxx@xxxxxxxxxxxxxxx>

京都大学の岡部です。

UPKI事務局側のワークフローを確認しましたが、NII側は自動化されていますの
で、今回の件で大量に再発行申請が来ても大丈夫です。もちろん各大学での確認
作業は大変だと思いますが、NIIのことは気遣っていただく必要ありませんし、
もちろん無料ですので、遠慮なく再発行してください。

なお、荻野さまに書いていただいています通り、今回のOpenSSLの脆弱性は秘密
鍵の漏洩が疑われるインシデントですので、必ず鍵ペア更新から行ってくださ
い。証明書の再発行だけでは無意味です。念のためお知らせします。

(2014/04/14 12:24), Mitsuru Ogino wrote:
> xxxxxxxxxxx@xxxxxxxxx 購読者各位：
> 
> 椙山女学園大学の荻野です。お世話になっております。
> 
> 世の中、OpenSSL の脆弱性でかなりの騒ぎになっているようですが、OpenSSL の
> アップデートは当然として、みなさま鍵ペア更新、証明書再発行申請までされて
> いるのでしょうか。
> 
> 当方はわかる範囲のものは証明書再発行をしようという話になっています。
> 
> 
> OpenSSL の脆弱性に関する注意喚起
> https://www.jpcert.or.jp/at/2014/at140013.html
> 
>> *** 更新: 2014年04月11日追記 *****************************************
>> 該当するバージョンの OpenSSL を使用したサーバを運用している場合、秘密
>> 鍵やアカウント情報などの重要な情報が既に漏えいしている可能性があります。
>> 新しい秘密鍵を作成し、サーバ証明書を再発行するなど、重要な情報が漏えい
>> している可能性を考慮して、対策を行うことをお勧めします。
>> **********************************************************************
> 
> JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
> http://jvn.jp/vu/JVNVU94401838/
> 
> 
> http://www.atmarkit.co.jp/ait/articles/1404/11/news151.html
>> 警察庁の定点観測システムでは、4月9日以降、この実証コードに実装されて
>> いるものと一致するパケットが多数観測された。おそらく、「脆弱性が存在
>> するサーバーなどの探索が実施されているものと考えられる」という。
> 
> http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html
>> ■影響を受けるOS、ソフトウェア
>>
>> ベンダー名など  影響を受ける製品名、ディストリビューション名など
>> VMware          「ESXi 5.5」「vCenter Server 5.5」「VMware Fusion 6.0.x」など
>> Cisco           「Cisco UCS B-Series」「Cisco UCS C-Series」「Cisco IOS XE」など
>> Fortinet        「FortiGate (FortiOS) 5.x」など
>> Juniper Networks「Junos OS 13.3R1」など
>> F5 Networks     「BIG-IP LTM 11.5.0 - 11.5.1」「BIG-IP GTM 11.5.0 - 11.5.1」など
>> Aruba Networks  「ArubaOS 6.3.x、6.4.x」など
>> Watchguard Technologies
>>                  「WatchGuard XTM 11.8.x」など
>> FreeBSD         FreeBSD 10.0
>> NetBSD          NetBSD 6
>> RedHat          Red Hat Enterprise Linux 6
>> Ubuntu          Ubuntu 13.10、12.10、12.04 LTS
>> Android         Android 4.1.1
> 
> 


-- 
Yasuo Okabe
Academic Center for Computing and Media Studies, Kyoto University
http://www.net.ist.i.kyoto-u.ac.jp

Follow-Ups:
- [upki-odcert:00075] Re: OpenSSL の脆弱性
  - From: Takeshi NISHIMURA

References:
- [upki-odcert:00073] OpenSSL の脆弱性
  - From: Mitsuru Ogino

Prev by Date: [upki-odcert:00073] OpenSSL の脆弱性
Next by Date: [upki-odcert:00075] Re: OpenSSL の脆弱性
Previous by thread: [upki-odcert:00073] OpenSSL の脆弱性
Next by thread: [upki-odcert:00075] Re: OpenSSL の脆弱性
Index(es):
- Date
- Thread